Интернет вещей — маркетинг или реальная угроза
МЕНЮ
Искусственный интеллект
Поиск
Регистрация на сайте
Помощь проекту
ТЕМЫ
Новости ИИ
Искусственный интеллект
Голосовой помощник
Городские сумасшедшие
ИИ в медицине
ИИ проекты
Искусственные нейросети
Слежка за людьми
Угроза ИИ
Разработка ИИГолосовой помощник
Городские сумасшедшие
ИИ в медицине
ИИ проекты
Искусственные нейросети
Слежка за людьми
Угроза ИИ
ИИ теория
Компьютерные науки
Машинное обуч. (Ошибки)
Машинное обучение
Машинный перевод
Реализация ИИ
Реализация нейросетей
Создание беспилотных авто
Трезво про ИИ
Философия ИИ
Внедрение ИИКомпьютерные науки
Машинное обуч. (Ошибки)
Машинное обучение
Машинный перевод
Реализация ИИ
Реализация нейросетей
Создание беспилотных авто
Трезво про ИИ
Философия ИИ
Big data
Генетические алгоритмы
Капсульные нейросети
Основы нейронных сетей
Распознавание лиц
Распознавание образов
Распознавание речи
Техническое зрение
Чат-боты
Работа разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика
Генетические алгоритмы
Капсульные нейросети
Основы нейронных сетей
Распознавание лиц
Распознавание образов
Распознавание речи
Техническое зрение
Чат-боты
Авторизация
2017-05-05 18:15
Пятница, Хабр! Это — доклад Артёма ximaera Гавриченкова с конференции «Хакер, вендор, клиент», прошедшей 21 апреля в Москве. За видео в конце публикации спасибо Кириллу Ермакову.
Снова здравствуйте.
С чего бы начать? Вы удивитесь — с глобального потепления.
Глобальное потепление — это процесс, начавшийся примерно в 50-60 гг. прошлого века вследствие индустриализации и характеризуется постепенным, и постоянным, повышением средней температуры поверхности Земли.
Вот так выглядит изменение температуры земной поверхности в среднем за 5 лет, с 1950 года по 2014 год. Более тёплыми: красными и оранжевыми тонами, выделены те участки, где потепление было больше, то есть температура выросла сильнее; а серым и синим выделяются те, где наоборот, было какое-то похолодание или не было заметного потепления за указанный период.
Отметим, что места, где не было заметного потепления — это в первую очередь океаны, а на пространстве над материками температура значительно увеличилась. То есть в тех местах, где в основном человек и вёл свою деятельность.
Учёные долго изучали этот процесс и построили математические модели, котороые помогли описать, что же, и как, происходит. Модели были и те, что учитывают только человеческий фактор, и другие — рассматривающие лишь естественные факторы, для того чтобы понять насколько этот процесс естественен. Потому что было некоторое предположение, мол: «Это нормальное природное явление, пик перед грядущим ледниковым периодом, солнце чуть сильнее греет Землю и париться не о чем. Люди здесь не при чём».
Но, модели, которые использовали только естественные факторы, не смогли объяснить то, что происходило — реальной картины из исходных данных не получалось.
В частности, используя только естественные факторы, нельзя никак объяснить, почему воздух нагревается именно над материками. Помимо этого, при солнечном нагреве равномерно должны прогреваться все слои атмосферы Земли: верхняя (стратосфера) и нижняя (тропосфера), а в реальности нагревалась лишь нижняя часть — то есть тепло шло откуда-то ниже.
Наверное, после всех этих аргументов мало кто будет спорить с тем, что к этому привела деятельность человека. Теперь внимание. Глобальное потепление, само по себе, проблемой не является — оно следствие человеческой активности: парникового эффекта, деятельности заводов, транспортных выбросов, агрессивной индустриализации, ожесточённой конкуренции, дешёвых товаров, заводов в странах третьего мира, где работают низкоквалифицированные сотрудники.
Почему мы не видим этих проблем, а обсуждаем лишь следствия? Потому что всё меняется, когда за дело берутся они: политики…
… деятели искусств…
… политики, считающие себя деятелями искусств, как Альберт Гор.
Всё это приводит, естественно, к иронии, сарказму и недоверию к научным данным, потому что когда выступают разные люди, не дающие никаких обоснований тому, о чём они говорят — выглядит странно.
А доклад-то про интернет вещей. Это что такое?
Это, например, камеры. Здесь я привёл список уязвимых к RCE камер, на которых возможно повышение привилегий — это дешёвые IP-камеры. Особенно мне нравится производитель с названием Sricam, очень нравится — обязательно куплю себе такую.
Помимо камер, это также телевизоры — всё, что можно купить за 20 000 рублей и шильдик производителя отвалится очень быстро, хотя, как мы знаем, Samsung тоже уязвим (то есть у него есть телевизоры и дороже указанного ценового порога).
Что ещё? Китайские смартфоны. Ширпотреб всякий. Остальное, типа автопилотируемых автомобилей и бортовых систем самолётов — уже фигня по-сравнению с камерами.
Естественно, что всё это — то, что перечислено на слайде, никак и никем не аудируется, не обновляется. И, естественно, что вопросы безопасности данного жуткого парка устройств, которые никогда не патчатся, а производитель закрывается при возникновении малейших проблем, привлекают деятелей искусства.
По некоторым оценкам рынок интернета вещей к 2020 году должен достичь $2 млрд, в то время как рынок безопасности IoT должен достичь $36 млрд, что больше почти в 20 раз. Маркетинг ведь тоже искусство.
Всё это ерунда, потому что о какой безопасности можно вообще говорить?
В начале этого года мир узнал об уязвимостях в enterprise-grade сетевом оборудовании — новости шли одна за другой. Исследователи верно подметили: «Не то чтобы в последнее время прошивки сетевых устройств стали небезопасные — они всегда такими были». Просто в последнее время за них взялись и обнаружилось, что внутри всё плохо. Дыры находятся даже в сложном оборудовании стоимостью в сто и тысячи раз больше, чем эта несчастная IP-камера.
Мы не можем, как правильно замечает Paul Vixie, даже обезопасить устройства и инфраструктуры стоимостью в миллионы и сотни миллионов долларов. А кто-то пытается думать, что можно каким-то образом обезопасить весь этот китайский ширпотреб. Самое интересное — это и не нужно.
В интернете вещей, как в угрозе безопасности, ничего принципиально нового нет, за исключением разве что мультипликатора — это удар в сторону доступности, атак на отказ в обслуживании. Почему? Потому что 10 лет назад было принято строить «периметр», где снаружи всё грязно, а внутри всё чисто и хорошо. Это не работало уже тогда.
Поэтому те меры, которые строились с умом — они работают до сих пор и могут выдержать не только то, что было в 13-15 годах, но и зараженные смартфоны, камеры и даже холодильники. Правильно построенная распределённая система оказывается готовой к мультипликатору, который даёт интернет вещей.
Да, у Akamai были проблемы с одной из подсетей во время атак Mirai, после чего Кребс ушел в Google Cloud и я не слышал, чтобы падал поиск Google. У них были проблемы, но правильно построенная система изолирует отдельные компоненты, таким образом глобальных проблем не произошло. Проблемы были у одного из вендоров — ну, что поделать.
А у кого тогда будут проблемы? Они будут у тех, у кого нет систем безопасности вообще. Тут история простая: видите, что надвигается дождь — повседневное метеорологическое явление, делаете вывод о том, что вам нужен зонт. Имеет смысл вовремя о нём озаботиться. Под угрозой ведь оказываются самые обыкновенные пользователи.
Тут у меня крамольная мысль — я её обосную. Понятно, что рядовые пользователи, которые ходят в кино и ничего не знают про безопасность, не будут интегрировать или выбирать какое-то решение по IoT-security. Они выберут «наиболее безопасное решение». Это смешно звучит, обдумайте: «Вася Пупкин из Урюпинска выбирает наиболее безопасный телевизор». Кажется странным, но дело в том, что такой прецедент уже был.
На этом слайде 3D-модель центра безопасности построенного в 2000 году компанией Volvo, для исследования безопасностей её автомобилей — посмотрите, это сложнейшее инженерное сооружение, которое стоило очень дорого. Оно необходимо чтобы моделировать многофакторные аварии, в которые автомобиль может попадать в реальной жизни.
Это дало определённый скачок, одновременно со схожими действиями Еврокомиссии в то же время, безопасности вождения, после которого в современном автомобиле, на самом деле, достаточно сложно погибнуть. Начала этот процесс Volvo и, что самое интересное — это повлияло на продажи. Грамотный маркетолог, глядя на это, смог поднять продажи со словами, что «Volvo безопаснее конкурентов».
Пока гром не грянет — мужик не перекрестится. Но когда гремит буря, люди крестятся быстро и интенсивно. Либо интернет вещей действительно превратится в такую угрозу жизни и безопасности человека и, тогда, эта проблема будет решаться, либо он в неё не превратится и проблемы не будет.
Откуда — спросите вы, тогда берутся все эти решения по защите интернета вещей? На этой неделе закончился двухдневный CISO-форум. Я посмотрел материалы и больше половины докладов там было о различного вида compliance.
Что такое comliance? Это важная штука, особенно в современном мире. Действительно, нужно суметь не сесть за то, каким образом вы реализуете политику безопасности — мир меняется, он усложняется. И, можно сказать, что хакерские доклады — не для CISO-форума, есть ZeroNights и с этим можно туда.
Так что же такое compliance? Это выполнение политик, которые кто-то устанавливает: государство, начальство, кто-то третий. Соблюдение политик и соответствующего законодательства.
Многим людям приходится сталкиваться, буквально, со следующим — в гости приходят люди в пиджаках и говорят: «В новостях было об интернете вещей. Вы, как отдел информационной безопасности, что планируете с этим делать?» Очень плохо звучит ответ: «Ничего».
К другим людям приходят другие люди в пиджаках и говорят: «Там вышел маркетинговый отчёт о формировании нового рынка объёмом в $36 млрд, почему мы не на нём?» Странно отвечать: «Потому что это глупость».
А потом эти люди встречаются: одним нужно что-то продать, а другим нужно что-то купить и тут появляется решение. Решение решает какую-то проблему. Но проблема не в интернете вещей и отдельной железкой её решить невозможно, потому что вопрос фундаментальный. Вопрос в патчах, вопрос в подготовке этого железа ещё до стадии производства.
О решении какой проблемы мы вообще говорим, из тех тысяч сложностей, что встречаются в интернете вещей? Интернет вещей — это реальная угроза, или маркетинг? А глобальное потепление? Я не знаю, но синоптики обещают, что лето будет жарким — не это, так следующее точно.
Видеозапись всей конференции:
Снова здравствуйте.
С чего бы начать? Вы удивитесь — с глобального потепления.
Глобальное потепление — это процесс, начавшийся примерно в 50-60 гг. прошлого века вследствие индустриализации и характеризуется постепенным, и постоянным, повышением средней температуры поверхности Земли. Вот так выглядит изменение температуры земной поверхности в среднем за 5 лет, с 1950 года по 2014 год. Более тёплыми: красными и оранжевыми тонами, выделены те участки, где потепление было больше, то есть температура выросла сильнее; а серым и синим выделяются те, где наоборот, было какое-то похолодание или не было заметного потепления за указанный период. Отметим, что места, где не было заметного потепления — это в первую очередь океаны, а на пространстве над материками температура значительно увеличилась. То есть в тех местах, где в основном человек и вёл свою деятельность.
Учёные долго изучали этот процесс и построили математические модели, котороые помогли описать, что же, и как, происходит. Модели были и те, что учитывают только человеческий фактор, и другие — рассматривающие лишь естественные факторы, для того чтобы понять насколько этот процесс естественен. Потому что было некоторое предположение, мол: «Это нормальное природное явление, пик перед грядущим ледниковым периодом, солнце чуть сильнее греет Землю и париться не о чем. Люди здесь не при чём».Но, модели, которые использовали только естественные факторы, не смогли объяснить то, что происходило — реальной картины из исходных данных не получалось.
В частности, используя только естественные факторы, нельзя никак объяснить, почему воздух нагревается именно над материками. Помимо этого, при солнечном нагреве равномерно должны прогреваться все слои атмосферы Земли: верхняя (стратосфера) и нижняя (тропосфера), а в реальности нагревалась лишь нижняя часть — то есть тепло шло откуда-то ниже. Наверное, после всех этих аргументов мало кто будет спорить с тем, что к этому привела деятельность человека. Теперь внимание. Глобальное потепление, само по себе, проблемой не является — оно следствие человеческой активности: парникового эффекта, деятельности заводов, транспортных выбросов, агрессивной индустриализации, ожесточённой конкуренции, дешёвых товаров, заводов в странах третьего мира, где работают низкоквалифицированные сотрудники.Почему мы не видим этих проблем, а обсуждаем лишь следствия? Потому что всё меняется, когда за дело берутся они: политики…
This very expensive GLOBAL WARMING bullshit has got to stop. Our planet is freezing, record low temps,and our GW scientists are stuck in ice
— Donald J. Trump (@realDonaldTrump) January 2, 2014
… деятели искусств…
… политики, считающие себя деятелями искусств, как Альберт Гор. Всё это приводит, естественно, к иронии, сарказму и недоверию к научным данным, потому что когда выступают разные люди, не дающие никаких обоснований тому, о чём они говорят — выглядит странно. А доклад-то про интернет вещей. Это что такое? Это, например, камеры. Здесь я привёл список уязвимых к RCE камер, на которых возможно повышение привилегий — это дешёвые IP-камеры. Особенно мне нравится производитель с названием Sricam, очень нравится — обязательно куплю себе такую.Помимо камер, это также телевизоры — всё, что можно купить за 20 000 рублей и шильдик производителя отвалится очень быстро, хотя, как мы знаем, Samsung тоже уязвим (то есть у него есть телевизоры и дороже указанного ценового порога).
Что ещё? Китайские смартфоны. Ширпотреб всякий. Остальное, типа автопилотируемых автомобилей и бортовых систем самолётов — уже фигня по-сравнению с камерами.
Естественно, что всё это — то, что перечислено на слайде, никак и никем не аудируется, не обновляется. И, естественно, что вопросы безопасности данного жуткого парка устройств, которые никогда не патчатся, а производитель закрывается при возникновении малейших проблем, привлекают деятелей искусства. По некоторым оценкам рынок интернета вещей к 2020 году должен достичь $2 млрд, в то время как рынок безопасности IoT должен достичь $36 млрд, что больше почти в 20 раз. Маркетинг ведь тоже искусство. Всё это ерунда, потому что о какой безопасности можно вообще говорить? В начале этого года мир узнал об уязвимостях в enterprise-grade сетевом оборудовании — новости шли одна за другой. Исследователи верно подметили: «Не то чтобы в последнее время прошивки сетевых устройств стали небезопасные — они всегда такими были». Просто в последнее время за них взялись и обнаружилось, что внутри всё плохо. Дыры находятся даже в сложном оборудовании стоимостью в сто и тысячи раз больше, чем эта несчастная IP-камера.Последнее время находится много уязвимостей в оборудовании. Это не заговор вендоров и/или спецслужб. Просто у исследователей, наконец, дошли руки.
Опубликовано Ильей Медведовским 5 апреля 2017 г.
Мы не можем, как правильно замечает Paul Vixie, даже обезопасить устройства и инфраструктуры стоимостью в миллионы и сотни миллионов долларов. А кто-то пытается думать, что можно каким-то образом обезопасить весь этот китайский ширпотреб. Самое интересное — это и не нужно.
В интернете вещей, как в угрозе безопасности, ничего принципиально нового нет, за исключением разве что мультипликатора — это удар в сторону доступности, атак на отказ в обслуживании. Почему? Потому что 10 лет назад было принято строить «периметр», где снаружи всё грязно, а внутри всё чисто и хорошо. Это не работало уже тогда.Поэтому те меры, которые строились с умом — они работают до сих пор и могут выдержать не только то, что было в 13-15 годах, но и зараженные смартфоны, камеры и даже холодильники. Правильно построенная распределённая система оказывается готовой к мультипликатору, который даёт интернет вещей.
Да, у Akamai были проблемы с одной из подсетей во время атак Mirai, после чего Кребс ушел в Google Cloud и я не слышал, чтобы падал поиск Google. У них были проблемы, но правильно построенная система изолирует отдельные компоненты, таким образом глобальных проблем не произошло. Проблемы были у одного из вендоров — ну, что поделать.
Before everyone beats up on Akamai/Prolexic too much, they were providing me service pro bono. So, as I said, I don't fault them at all.
— briankrebs (@briankrebs) September 23, 2016
А у кого тогда будут проблемы? Они будут у тех, у кого нет систем безопасности вообще. Тут история простая: видите, что надвигается дождь — повседневное метеорологическое явление, делаете вывод о том, что вам нужен зонт. Имеет смысл вовремя о нём озаботиться. Под угрозой ведь оказываются самые обыкновенные пользователи.
Тут у меня крамольная мысль — я её обосную. Понятно, что рядовые пользователи, которые ходят в кино и ничего не знают про безопасность, не будут интегрировать или выбирать какое-то решение по IoT-security. Они выберут «наиболее безопасное решение». Это смешно звучит, обдумайте: «Вася Пупкин из Урюпинска выбирает наиболее безопасный телевизор». Кажется странным, но дело в том, что такой прецедент уже был.
На этом слайде 3D-модель центра безопасности построенного в 2000 году компанией Volvo, для исследования безопасностей её автомобилей — посмотрите, это сложнейшее инженерное сооружение, которое стоило очень дорого. Оно необходимо чтобы моделировать многофакторные аварии, в которые автомобиль может попадать в реальной жизни. Это дало определённый скачок, одновременно со схожими действиями Еврокомиссии в то же время, безопасности вождения, после которого в современном автомобиле, на самом деле, достаточно сложно погибнуть. Начала этот процесс Volvo и, что самое интересное — это повлияло на продажи. Грамотный маркетолог, глядя на это, смог поднять продажи со словами, что «Volvo безопаснее конкурентов».Пока гром не грянет — мужик не перекрестится. Но когда гремит буря, люди крестятся быстро и интенсивно. Либо интернет вещей действительно превратится в такую угрозу жизни и безопасности человека и, тогда, эта проблема будет решаться, либо он в неё не превратится и проблемы не будет.
Откуда — спросите вы, тогда берутся все эти решения по защите интернета вещей? На этой неделе закончился двухдневный CISO-форум. Я посмотрел материалы и больше половины докладов там было о различного вида compliance.
Что такое comliance? Это важная штука, особенно в современном мире. Действительно, нужно суметь не сесть за то, каким образом вы реализуете политику безопасности — мир меняется, он усложняется. И, можно сказать, что хакерские доклады — не для CISO-форума, есть ZeroNights и с этим можно туда.
Так что же такое compliance? Это выполнение политик, которые кто-то устанавливает: государство, начальство, кто-то третий. Соблюдение политик и соответствующего законодательства.
Многим людям приходится сталкиваться, буквально, со следующим — в гости приходят люди в пиджаках и говорят: «В новостях было об интернете вещей. Вы, как отдел информационной безопасности, что планируете с этим делать?» Очень плохо звучит ответ: «Ничего».
К другим людям приходят другие люди в пиджаках и говорят: «Там вышел маркетинговый отчёт о формировании нового рынка объёмом в $36 млрд, почему мы не на нём?» Странно отвечать: «Потому что это глупость».
А потом эти люди встречаются: одним нужно что-то продать, а другим нужно что-то купить и тут появляется решение. Решение решает какую-то проблему. Но проблема не в интернете вещей и отдельной железкой её решить невозможно, потому что вопрос фундаментальный. Вопрос в патчах, вопрос в подготовке этого железа ещё до стадии производства.
О решении какой проблемы мы вообще говорим, из тех тысяч сложностей, что встречаются в интернете вещей? Интернет вещей — это реальная угроза, или маркетинг? А глобальное потепление? Я не знаю, но синоптики обещают, что лето будет жарким — не это, так следующее точно.Видеозапись всей конференции:
https://www.youtube.com/watch?v=8i38qDqdrAc
Источник: habrahabr.ru